NIEUPOWAśNIONYM WSTĘP WZBRONIONY Autentykacja (uwierzytelnianie) uŝytkowników w oparciu o standard 802.1x mgr inŝ. Jakub Nowakowski 2009-03-12
Agenda Pojęcia związane z tematem prezentacji Cel uwierzytelniania Standard 802.1x MAC Authentication Bypass- MAB Infrastruktura dla MAB Implementacja MAB w LAN i WLAN Cisco Etapy wdrożenia MAB MAB w sieci przewodowej MAB w sieci bezprzewodowej MAB i co dalej? Inne metody uwierzytelniania oparte o adres MAC Pytania i odpowiedzi
Powiązane pojęcia Podobno nie ma słowa autentykacja, jest za to uwierzytelnienie Identity Networking IBNS - Identity Based Networking Services Self Defending Network VLAN Isolation Network Virtualization MAC Address Authentication PN-ISO/IEC 17799:2007 (w zakresie autentyczności i uwierzytelnienia)
Do czego to służy? Potrzeba zapewnienia bezpieczeństwa przede wszystkim od wnętrza organizacji Metody uwierzytelniania stacji roboczych i/lub użytkowników MAC AuthenticationBypassjako przykład uwierzytelniania stacji roboczych w środowisku LAN i WLAN
Potrzeba zapewnienia bezpieczeństwa Uwierzytelnienie (czyli weryfikacja autentyczności) jest użyteczne zazwyczaj wtedy, jeśli jest używane wraz z odpowiednimi ograniczeniami dostępu, czyli autoryzacją Osoby i komputery zewnętrzne powinny takimi pozostać także, jeśli znajdą się na terenie firmy i w zasięgu jej sieci komputerowej (fizycznie), a nawet wtedy, kiedy się do niej podłączą (logicznie) Grupy użytkowników powinny mieć zróżnicowany dostęp do zasobów firmowej sieci komputerowej oraz do Internetu Z udzielonych dostępów powinny być możliwe do sporządzenia różnorakie raporty i/lub powiadomienia
Kolejne etapy wtajemniczenia Uwierzytelnienie i nic więcej po poprawnym sprawdzeniu tożsamości użytkownik/komputer uzyskuje dostęp do sieci LAN lub WLAN Uwierzytelnienie + autoryzacja związana z tożsamością użytkownika/komputera (kłopotliwe w utrzymaniu) Uwierzytelnienie + przypisanie do wcześniej skonfigurowanego i działającego VLAN-u(bardzo dobrze skalowalne); wiąże się ze zmianą adresu IP stacji Uwierzytelnienie + VLAN + zbadanie spełniania przez stację warunków dostępu do sieci + inny VLAN; adres IP stacji może zmieniać się wielokrotnie
Standard uwierzytelniania 802.1x IEEE 802.1x Suplikant (klient 802.1x) Autentykator(switch lub WLAN controller lub access point) Serwer uwierzytelniania (RADIUS + baza danych) Jest to kontrola dostępu oparta o port (w LAN) oraz o asocjację (w WLAN) Używa do tego specjalnego protokołu EAPoL(EAP over LAN) (dane EAPoLprzesyłane są bezpośrednio przez sieć w warstwie drugiej łącza danych modelu ISO/OSI bez użycia dodatkowych protokołów sieciowych warstwy trzeciej czyli IP lub IPX, ani transportowych warstwy czwartej, jak TCP czy UDP lub SPX)
Elementy biorące udział w uwierzytelnieniu 802.1x
Domyślne zabezpieczenie portów 802.1x
Domyślne zabezpieczenie portów 802.1x
Konsekwencje dla urządzeń nie posiadających wsparcia do 802.1x (clientless)
Ograniczenia 802.1x w LAN Wymaga oprogramowania (klienta) na urządzeniu (komputerze) urządzenia bez odpowiedniego klienta (drukarki, urządzenia boot ującesię za pomocą PXE, telefony, kamery) są wyjątkami, bo nie obsługują protokołu EAPoLi muszą być konfigurowane oddzielnie, co prowadzi do różnych konfiguracji portów na jednym urządzeniu Zazwyczaj na jednym porcie switch amożliwy jest do obsłużenia jeden adres MAC (ew. po jednym z tzw. domen DATA i VOICE) Problem z urządzeniami podłączanymi za pośrednictwem telefonów IP (rozwiązywalny poprzez MDA Multi DomainAuthentication, ale rozwiązanie to nie jest dostępne we wszystkich wersjach oprogramowania)
Największe wyzwanie urządzenia clientless Aby obsłużyć żądania od stacji nie obsługujących protokołu EAPoL urządzenia sieciowe (switch e i kontrolery i/lub access point y) MUSZĄ posiadać odpowiednią funkcjonalność wbudowaną w swoje oprogramowanie Funkcjonalność ta nazywa się MAB(MAC Authentication Bypass) Suplikantem staje się fragment oprogramowania na urządzeniu sieciowym, który do bazy danych wysyła zapytanie bazujące na adresie MAC urządzenia clientless Musi istnieć baza danych adresów MAC, która w odróżnieniu od bazy danych użytkowników zazwyczaj w firmie nie istnieje i wymaga utworzenia Obsługa w oparciu o MAB jest możliwa zarówno w sieciach LAN, jak i w sieciach WLAN Uwaga! Pod adres MAC stosunkowo łatwo można się podszyć
Uwierzytelnienie za pomocą MAB urządzeń clientless
Inne metody używające adresu MAC w procesie uwierzytelniania VMPS (VLAN Management Policy Server) plik tekstowy adresów MAC, który poprzez TFTP jest ładowany do serwera (switch a) VMPS; inne switch ekorzystają z bazy danych serwera VMPS URT (UserRegistrationTool), które używa protokołu VQP (VLAN QueryProtocol); aplikacja działa w środowisku Windows Cisco Clean Access (NAC)
Baza danych adresów MAC i serwer RADIUS Najprościej oprzeć bazę danych adresów MAC o (zazwyczaj istniejącą) bazę ActiveDirectoryfirmy Microsoft, a serwer RADIUS zorganizować poprzez IAS Można skorzystać z płatnego rozwiązania ACS (Access Control Server) firmy Cisco Dla większych organizacji warto zastanowić się nad Cisco NAC Profiler em wraz z ACS-em Można skorzystać z freeradius-a(do ściągnięcia za darmo image VMware owy) I dziesiątki innych rozwiązań
Problemy z bazą adresów MAC w ActiveDirectoryMicrosoftu Dopiero od wersji AD dostępnej wraz systemem Windows Server 2008 można ustawić inne niż dla całej domeny wymogi dla haseł dla danej jednostki organizacyjnej Cisco zaszyło w rozwiązaniu MAB dla sieci przewodowych LAN wymóg, żeby hasło wysyłane w imieniu urządzenia clientlessbyło identyczne, jak adres MAC, co kłóci się z domyślnymi wymaganiami haseł w AD Problem ten nie występuje dla sieci WLAN, ale w tym wypadku należy zadbać o odpowiednio skomplikowany shared secretserwera RADIUS, taki aby zasady haseł w AD się o nie nie czepiały
Ograniczenia MAB w Cisco Nie wszystkie urządzenia sieciowe Cisco wspierają MAB Nie na wszystkich wersjach software u MAB jest dostępny Zazwyczaj wystarczy upgrade oprogramowania (IOS) Jednak, aby zrobić to zgodnie z warunkami licencji konieczne jest posiadanie aktywnego serwisu na urządzenie Należy postępować ostrożnie z wdrożeniem MAB-awraz z telefonią IP (w niektórych urządzeniach ważne funkcje będą dostępne dopiero z końcem 2009r.)
Urządzenia Cisco wspierające MAB Catalyst 500 *) Catalyst 2940 Catalyst 2960 Catalyst 2970 Catalyst 3550 Catalyst 3560 Catalyst 3750 Catalyst 4x00 Catalyst 6x00 Kontrolery WLAN *) Access Point y*) Uwaga! Catalyst 2950 nie wspiera MAB *) zalecana ostrożność i wcześniejsze sprawdzenie Można sprawdzić, czy funkcjonalność Authentication Bypassw danym urządzeniu jest obsługiwana na stronie Cisco Feature Navigator a: http://www.cisco.com/go/fn
Kolejne kroki we wdrożeniu MAB w Uporządkowanie VLAN-ów Konfiguracja serwera RADIUS firmie Stworzenie bazy danych adresów MAC i wpisanie ich do bazy danych z podziałem na grupy funkcjonalne (VLAN-y) z rozróżnieniem pomiędzy adresami MAC LAN-ów i WLAN-ów Konfiguracja funkcjonalności MAB na switch ach LAN i kontrolerach WLAN Niczego nie musimy zmieniać na stacjach, ale pożądane jest aby stacje korzystały z serwera DHCP, co daje pełną kontrolę nad przydziałem stacji do VLAN-ów Dla urządzeń z ustalonym IP należy skonfigurować rezerwacje na serwerze DHCP
Uporządkowanie VLAN-ów Skonfigurowanie trunk-ów pomiędzy switch ami Usunięcie duplikatów VLAN-ówo tych samych numerach służących różnym celom na różnych switch achlub ich grupach Skonfigurowanie serwera i klientów VTP Nadanie adresacji IP nowym VLAN-om Nadanie uprawnień poszczególnym VLAN-omdo korzystania z określonych usług i/lub Internetu (access-lists) wraz z modyfikacją NAT Zorganizowanie routingu pomiędzy VLAN-ami(ważne!) Zorganizowanie obsługi DNS i DHCP (wraz z wpisaniem nowych rezerwacji) dla poszczególnych VLAN-ów
MAB w środowisku bezprzewodowym Zalecane jest stosowanie kontrolerów wraz z access point ami, zamiast samych access point ów Można ograniczyć się do konfiguracji jednego SSID W zależności od uprawnień wynikających z MAC-a na tym samym SSID może być podłączony zarówno gość z silnymi restrykcjami, jak i w pełni uprawniony użytkownik
MAB w działaniu w sieci przewodowej
MAB w działaniu w sieci przewodowej c.d.
MAB w działaniu w sieci przewodowej c.d.
MAB w działaniu w sieci przewodowej c.d.
MAB w działaniu w sieci bezprzewodowej
MAB w działaniu w sieci bezprzewodowej c.d.
MAB w działaniu w sieci bezprzewodowej c.d.
MAB w działaniu w sieci bezprzewodowej c.d.
MAB w działaniu w sieci bezprzewodowej c.d.
MAB w działaniu w sieci bezprzewodowej c.d.
MAB w działaniu w sieci bezprzewodowej c.d.
MAB w działaniu w sieci bezprzewodowej c.d.
MAB -Podsumowanie MAB jest stosunkowo prosty do wdrożenia, a środowisko zazwyczaj można stworzyć bez ponoszenia specjalnych kosztów Warunkiem jest posiadanie urządzeń sieciowych LAN i WLAN, które wspierają MAB Nie ma ograniczeń (zasadniczo) co do wspieranych urządzeń ubiegających się o dostęp do sieci Niczego nie trzeba zmieniać na tych urządzeniach
Mam MAB-a, co dalej? Nie chcę MAB-a, co w zamian? Poprawnie skonfigurowane środowisko MAB z VLAN-amii RADIUS-emi bazą danych MAC jest punktem wyjścia do zastosowania systemu badającego spełnianie przez stację warunków dostępu do sieci Jednak wiodące na rynku rozwiązania tego typu nie opierają się o MAB/802.1x, lecz o SNMP takim rozwiązaniem jest np. Cisco Clean Access Server, czy darmowy PacketFence Lista urządzeń wspierających dynamiczny przydział do VLAN-ówpoprzez SNMP jest krótsza, jednak w oparciu o SNMP łatwiej daje się połączyć w jeden system urządzenia różnych producentów Można zastosować pełen 802.1x, co pozwala przede wszystkim oprzeć uwierzytelnienie o informacje o użytkowniku, a nie wyłącznie o adres MAC; możliwy jest też wariant mieszany, kiedy ten sam port może wspierać 802.1x oraz w przypadku niepowodzenia użyć MAB
Urządzenia Cisco wspierające SNMP-basedMAC authentication np. NAC lub PacketFence 2900XL i 3500XL Those switches do not support port-security with static MAC address so we enable linkup/linkdown and MAC notifcation traps. 2950 i3550 Those switches support port-security with static MAC address but we can not secure a MAC on the data VLAN specifcallyso enable it if there is no VoIP, use linkup/linkdownand MAC notifcation oherwise. With port-security, we need to secure bogus MAC addresses on ports in order for the switch to send a trap when a new MAC appears on a port. 2960, 2970, 3560 Those switches support port-security with static MAC address and allow us to secure a MAC on the data VLAN so we enable it whether.there is VoIP or not. We need to secure bogus MAC addresses on ports in order for the switch to send a trap when a new MAC appears on a port.
SNMP-basedMAC authentication wymogi Izolacja VLAN-óww sieciach LAN i WLAN działa na bazie pułapek protokołu SNMP (Simple Network Management Protocol) Urządzenia LAN muszą wspierać SNMP i przynajmniej pułapki Link Change: linkup oraz linkdown Wskazane jest, aby ponadto wspierały pułapki MAC notification: MAC learnt i MAC removed Zamiast dwóch powyższych grup pułapek alternatywnie urządzenie LAN można skonfigurować na wysyłanie pułapek Port Security (jeśli je wspiera) Urządzenia WLAN muszą wspierać pułapki deauthentication oraz kilka innych funkcji
SNMP-basedMAC authenticationw sieciach WLAN Urządzenia WLAN muszą wspierać: deautentykację(jak to lepiej przetłumaczyć?) skojarzonej stacji bezprzewodowej pułapkę deuthentication uwierzytelnienie za pomocą serwera RADIUS-a dynamiczny przydział VLAN-ów poprzez atrybuty RADIUS-a obsługę kilku SSID obsługę wielu VLAN-ów w ramach jednego SSID
Pytania i odpowiedzi??? Jakub Nowakowski E-mail: jakub.nowakowski@itns.pl
NIEUPOWAśNIONYM WSTĘP WZBRONIONY Dziękuję za wysłuchanie prezentacji 2009-03-12